Nutzen Sie den CAA-DNS-Eintrag, um CA zu autorisieren, die TLS-Zertifikate auszustellen.
Inhaltsverzeichnis
Was ist DNS-CAA?
CAA ist einer der DNS-Eintragstypen, die CA anweisen, ob sie ein Zertifikat ausstellen sollen oder nicht. Mit anderen Worten, Sie teilen der Welt mit, wer Ihre Domain ausstellen soll SSL/TLS-Zertifikat. Die CAA-Implementierung wurde Ende 2017 obligatorisch, ist also relativ neu und weniger als 5 % der beliebten Websites haben dies implementiert.
Nehmen wir ein Beispiel: wdzwdz besitzt eine Website namens „gf.dev“, die den folgenden CAA-Eintrag hat.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Wenn ich mir die obigen Ergebnisse ansehe, kann ich das Zertifikat erhalten, das nur von DigiCert, Comodo und Let’s encrypt ausgestellt wurde. Wenn ich Thawte oder eine andere Zertifizierungsstelle auffordere, ein Zertifikat für gf.dev auszustellen, können sie dies nicht. Wenn Sie darauf achten, werden Sie auch feststellen, dass einige Einträge ein Problem und einige Probleme haben. Lassen Sie uns herausfinden, was sie sind.
- issue – Weisen Sie CA an, das Zertifikat nur für diese Domäne auszustellen.
- issuewild – CA kann das Platzhalterzertifikat ausstellen, damit es in einer Domäne oder Unterdomäne verwendet werden kann.
Der CAA-Datensatz unterstützt auch iodef (Incident Object Description Exchange Format), wodurch CA einen Verstoßbericht an die angegebene E-Mail-Adresse oder Kontaktdetails senden kann.
Was passiert, wenn kein CAA-Eintrag gefunden wird?
Wenn eine Domäne keinen CAA-Eintrag hat, kann jeder eine CSR für diese Domäne erstellen und das Zertifikat von einer beliebigen Zertifizierungsstelle signieren lassen. Dies ist ein Sicherheitsrisiko.
Ist es jetzt klar?
Es gibt ein paar Abkürzungen, die ich oben verwendet habe. Schauen wir uns an, was sie sind.
- DNS – Domain-Name-System
- CA – Zertifizierungsstelle
- CAA – Autorisierung der Zertifizierungsstelle
- TLS – Sicherheit der Transportschicht
- SSL – Secure-Socket-Layer
Wie überprüfe ich den DNS-CAA-Eintrag?
Es gibt mehrere Möglichkeiten, den CAA-Eintrag zu validieren. Wenn Sie Ihr Terminal nicht verlassen möchten, können Sie dies mit dem Befehl dig überprüfen.
dig caa $YOURWEBSITE.COM
Beispiel wdzwdz.com
[email protected]:~# dig caa wdzwdz.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa wdzwdz.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;wdzwdz.com. IN CAA ;; ANSWER SECTION: wdzwdz.com. 3600 IN CAA 0 issuewild "comodoca.com" wdzwdz.com. 3600 IN CAA 0 issuewild "letsencrypt.org" wdzwdz.com. 3600 IN CAA 0 issue "comodoca.com" wdzwdz.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" wdzwdz.com. 3600 IN CAA 0 issue "letsencrypt.org" wdzwdz.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Wenn Sie dies aus der Ferne testen möchten, können Sie dies verwenden DNS-CAA-Tester Online-Tool.
Wie füge ich einen CAA-Eintrag hinzu?
Technisch gesehen ist dies der gleiche Weg, wie Sie andere DNS-Einträge wie A, NS, CNAME usw. hinzufügen.
Wenn Sie Cloudflare verwenden, gehen Sie zur Registerkarte DNS >> fügen Sie einen Eintrag hinzu und wählen Sie CAA als Typ aus.
Gehen Sie für GoDaddy zur DNS-Verwaltung und fügen Sie einen Eintrag hinzu
Wenn Sie sich nicht sicher sind, wie Sie diese hinzufügen sollen, können Sie sich an Ihren DNS-/Hosting-Anbieter wenden, um Hilfe zu erhalten.
Fazit
Falls noch nicht geschehen, sollten Sie den CAA-Eintrag nutzen, um eine Ebene der Domänensicherheit hinzuzufügen. Das Hinzufügen eines CAA-Eintrags kostet Sie nichts.
Haben Sie den Artikel gerne gelesen? Wie wäre es mit der Welt zu teilen?